Decoy Dog Malware

Sa pagsasagawa ng komprehensibong pagsusuri sa q bagong natukoy na malware, ang Decoy Dog, natuklasan ng mga mananaliksik sa cybersecurity na kumakatawan ito ng malaking pag-unlad kumpara sa pundasyon nito, ang open-source na remote access na trojan na Pupy RAT.

Ang Decoy Dog ay nagpapakita ng malawak na hanay ng makapangyarihan at dati nang hindi nasabi na mga kakayahan, na itinatakda ito bilang isang mas sopistikadong banta. Kabilang sa mga kahanga-hangang feature nito ay ang kakayahang ilipat ang mga biktima sa isang alternatibong controller, na nagbibigay-daan sa mga walang isip na aktor sa likod ng malware na mapanatili ang komunikasyon sa mga nakompromisong machine habang umiiwas sa pagtuklas para sa pinalawig na tagal. Kapansin-pansin, may mga pagkakataon kung saan ang mga biktima ay hindi sinasadyang nakipag-ugnayan sa isang server ng Decoy Dog sa loob ng mahigit isang taon, na itinatampok ang lihim at katatagan ng malisyosong software na ito.

Ang Decoy Dog Malware ay Nilagyan ng Pinalawak na Hanay ng Mga Mapanganib na Feature

Ipinagmamalaki ng kamakailang natukoy na malware, ang Decoy Dog, ang ilang mga nobelang functionality na nagpapahiwalay dito. Kapansin-pansin, ang Decoy Dog ay nagtataglay na ngayon ng kakayahang magsagawa ng arbitrary na Java code sa kliyente, na nagbibigay dito ng mas malawak na hanay ng mga aksyon.

Bukod pa rito, ang malware ay nilagyan ng mekanismo na kahawig ng isang tradisyonal na DNS domain generation algorithm (DGA) upang kumonekta sa mga emergency controller. Kasama sa mekanismong ito ang pag-engineer ng mga domain ng Decoy Dog upang tumugon sa mga na-replay na query sa DNS na nagmumula sa mga nilabag na kliyente. Sa pamamagitan ng diskarteng ito, ang mga malisyosong aktor sa likod ng Decoy Dog ay maaaring epektibong i-reroute ang komunikasyon ng mga nakompromisong device mula sa kanilang kasalukuyang controller patungo sa isa pa. Ang kritikal na utos na ito ay nagtuturo sa mga nakompromisong device na itigil ang komunikasyon sa kasalukuyang controller at makipag-ugnayan sa isang bago.

Ang pagkatuklas ng sopistikadong toolkit na ito ay naganap noong unang bahagi ng Abril 2023, na na-prompt ng pagtuklas ng maanomalyang aktibidad ng DNS beaconing. Ang paghahayag na ito ay nagbigay-liwanag sa mataas na target na pag-atake ng malware na partikular na naglalayong sa mga network ng enterprise.

Ang mga cybercriminal sa likod ng Decoy Dog Malware ay maaaring Mag-target ng Mga Tukoy na Rehiyon

Ang pinagmulan ng Decoy Dog ay hindi pa tiyak na naitatag, ngunit ito ay pinaghihinalaang pinapatakbo ng isang piling grupo ng mga hacker ng bansang estado. Gumagamit ang mga hacker na ito ng mga natatanging taktika habang tumutugon sa mga papasok na kahilingan na umaayon sa istruktura ng komunikasyon ng kliyente, na ginagawa itong isang malakas at mailap na banta sa landscape ng cybersecurity.

Epektibong ginagamit ng Decoy Dog ang domain name system (DNS) para sa mga operasyon nitong Command-and-Control (C2). Kapag nakompromiso ang isang device ng malware na ito, nagtatatag ito ng komunikasyon sa isang itinalagang controller (server) sa pamamagitan ng mga query sa DNS at mga tugon sa IP address, na tumatanggap ng mga tagubilin mula sa controller.

Matapos malantad ng mga eksperto sa cybersecurity, mabilis na kumilos ang mga banta sa likod ng Decoy Dog sa pamamagitan ng pagtanggal ng ilang DNS nameserver at kaagad na pagrehistro ng mga bagong kapalit na domain upang matiyak ang malayong pagtitiyaga at patuloy na kontrol. Nagbigay-daan ito sa kanila na ilipat ang mga kasalukuyang nakompromisong kliyente sa mga bagong controller, na nagpapakita ng kanilang determinasyon na mapanatili ang access sa kanilang mga biktima.

Ang paunang deployment ng Decoy Dog ay nagbabalik sa huling bahagi ng Marso o unang bahagi ng Abril 2022. Simula noon, tatlong iba pang cluster ng malware ang natukoy, bawat isa ay pinatatakbo ng ibang controller. Sa ngayon, may kabuuang 21 na domain ng Decoy Dog ang natukoy. Bukod dito, isang hanay ng mga controller na nakarehistro mula noong Abril 2023 ang umangkop sa mga taktika nito sa pamamagitan ng pagpapatupad ng mga diskarte sa geofencing. Ang diskarteng ito ay naghihigpit sa mga tugon sa mga IP address ng kliyente sa mga partikular na heyograpikong lokasyon, na ang naobserbahang aktibidad ay higit na limitado sa mga rehiyon sa Russia at Silangang Europa.